Chairman Lembaga Riset Keamanan Siber dan Komunikasi (CISSReC), Pratama Persadha, meminta Rancangan Undang-Undang Keamanan dan Ketahanan Siber (RUU KKS) memperjelas pembagian tugas dan kewenangan antar lembaga yang menangani keamanan siber.
Menurutnya, kejelasan peran setiap institusi penting agar penanganan insiden siber berjalan cepat, terkoordinasi, dan tidak diwarnai saling lempar tanggung jawab.
"Ini masukan pertama adalah kita perlu memperjelas pembagian tugas antar lembaga. Kenapa? Karena saat ini ketika terjadi insiden, sibuk nyalah-nyalahin, sibuk apa namanya membenarkan diri, sibuk beralasan gitu," ujar Pratama dalam rapat dengar pendapat dengan Komisi I DPR di Kompleks Parlemen, Senayan, Jakarta, Selasa (30/6).
Menurut Pratama, RUU KKS perlu mengatur secara rinci siapa yang memimpin ketika terjadi serangan siber berskala besar, siapa yang melakukan penyelidikan, menangani pemulihan, hingga menyampaikan informasi kepada publik.
"Nah, oleh karena itu menurut saya perlu kita perjelas kalau misal terjadi serangan yang besar gitu, siapa nih yang memimpin? Siapa yang menyelidiki? Siapa yang menangani pemulihan? Siapa yang memberikan informasi kepada publik?" ujarnya.
Ia juga menyoroti masih adanya perbedaan informasi antarkementerian ketika terjadi insiden siber.
"Kita tahu sendiri bahwa informasi sekarang antar kementerian juga kadang-kadang beda-beda. Kapan Presiden menerima laporan? Kapan status krisis nasional ditetapkan? Bagaimana koordinasi lintas kementerian atau lembaga dan sektor swasta?" sambungnya.
Soroti Tumpang Tindih KewenanganPratama menilai Indonesia memiliki banyak institusi yang menangani keamanan siber. Tanpa pembagian tugas yang tegas, kondisi tersebut berpotensi menimbulkan tumpang tindih kewenangan saat terjadi serangan.
"Karena begini, di negara kita ini kan stakeholder masalah cyber ini ada banyak nih. Ada Badan Siber dan Sandi Negara, ada intelijen siber di Badan Intelijen Negara, ada Cyber Crime di Mabes Polri, ada Satsiber ada di TNI, ada Komdigi, ada regulator OJK, BI, dan lain-lain begitu," ujarnya.
Menurutnya, kejelasan kewenangan menjadi salah satu faktor utama keberhasilan penanganan insiden siber nasional.
"Nah, menurut saya memperjelas pembagian tugas antar lembaga ini akan membuat kita ini akan bisa menangani insiden kalau nanti terjadi insiden dengan baik begitu," katanya.
Sebagai contoh, Pratama menyinggung penanganan sejumlah insiden siber, termasuk serangan terhadap KPU dan Pusat Data Nasional Sementara (PDNS), yang menurutnya menunjukkan masih adanya tumpang tindih kewenangan antarlembaga.
"Dan ini pengalamannya saya pikir sangat banyak sekali ya Pak Ketua gitu, misalkan ketika terjadi serangan terhadap KPU gitu ya kan, kemudian ketika kemarin terjadi serangan terhadap PDNS kita lihat bagaimana ketika sidang di Komisi I secara live gitu ya kan, Komdigi bilang bahwa tanggung jawabnya keamanan di BSSN gitu padahal BSSN nggak pernah diajak ngomong masalah pusat data nasional sementara gitu," ungkapnya.
Minta RUU KKS Perkuat Ketahanan SiberSelain memperjelas pembagian kewenangan, Pratama juga meminta RUU KKS memberi perhatian lebih besar pada aspek ketahanan siber (cyber resilience), bukan hanya keamanan siber (cyber security).
"Nah ini masukan kedua masalah ketahanan siber. Menurut saya ketahanan siber itu lebih penting sih gitu daripada sekadar keamanan siber gitu. Kalau keamanan siber itu kan kita mencegah serangan gitu ya," katanya.
Menurutnya, ketahanan siber berarti memastikan sistem tetap dapat beroperasi meski sedang diserang, termasuk memiliki kemampuan pemulihan dan mitigasi dampak.
"Kalau ketahanan siber itu kita tetap bisa beroperasi walaupun diserang. Jadi kapan kita akan pulih, kapan kita apa namanya akan bisa recover, kapan kita bisa melakukan langkah-langkah mitigasi, kapan kita bisa mengurangi kerugian terhadap masyarakat gitu," ujarnya.
Karena itu, ia mengusulkan agar RUU KKS mewajibkan seluruh penyelenggara infrastruktur informasi kritis memiliki business continuity plan dan disaster recovery plan.
"Ya, karena di dalam RUU ini masalah ketahanan siber tuh sedikit sekali dibahasnya gitu ya kan, sehingga menurut saya dalam RUU ini perlulah mewajibkan seluruh IIK itu bisa memiliki business continuity plan, punya disaster recovery plan," pungkasnya.
